英方软件电子政务跨平台容灾秘籍

时间:2020-08-05 栏目:技术前沿

导读:本文从政务数字化的概况、政务云信息化现状、容灾备份建设要求、系统容灾场景、案例简析等多维度分析行业数据安全和业务连续性建设的特点,尽可能为你呈现政务数字化在内外网环境下数据保护和信息系统安全建设的不同,助力各级政务及公检法等政务数字化建设朝着更加安全可靠的方向迈进。

一、行业概述

电子政务是指政府机构通过运用信息化手段,实现办公自动化、24 小时咨询服务、网上申报和审批等各种政府职能。电子政务应用包括政务信息查询、公共政务办公、政府办公自动化等。本内容涉及的电子政务的建设主体是各级政府部门及各种组织机构,涵盖各级党组织、政府部门、公检法、委办机构等,譬如各级人民政府、消防、工商、税务、环保等。本章节所涉及的电子政务的数据安全和业务连续性的内容,也是以为百姓提供日常服务的政府及组织为主。

新基建、数字中国、智慧城市、互联网+政务等新型城市的建设浪潮,都离不开作为电子政务底座的新型基础设施—政务云。当前,各地政府大力兴建的政务云,也不负重托,通过新型电子政务的方式,在数字政府、智慧政务、智慧民生等应用领域,逐步实现人民政府提出的“让数据多跑路,让百姓少跑腿”的郑重承诺。为此,通过先进的数据复制、容灾备份等技术构建一个安全可靠的政务云,已经成为各级政府组织信息化建设的重要内容之一,也是建设人民满意的数字化服务型政府的必要条件。

1)等级保护和分级保护

政府电子政务的建设和发展关乎国计民生,也关于国家安全和经济发展。由于当前的信息安全保密问题日益突出,勒索病毒、网络攻击、机密文件泄露等事件愈发频繁,给国家安全和政府外交工作带来重大的挑战。为此构建新时代电子政务的信息化应用,必须做好关键信息和数据的安全管理及保护工作,必须加强对政府信息数据和国家机密保护的宣传工作,必须确保各类信息不泄露、不丢失和重要系统不出现重大故障。

强化信息安全,法度利器先行。国家层面已制定了相应的一系列法律法规,强制性要求各类数据中心的运营机构必须遵守各项信息安全规定,提升整体的信息安全防护措施,而政府及组织在这方面起到了带头示范的作用。在国家已颁布的一系列法律法规中,等级保护和分级保护的影响范围最广。

等级保护,即信息安全技术网络安全等级保护要求,是我国信息安全保障的一项基本制度。2003 年由中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》,正式提出实行信息安全等级保护和建立国家信息安全保障体系的明确要求。2007 年和 2008 年颁布实施的 《信息安全等级保护管理办法》和《信息安全等级保护基本要求》,统称“等保 1.0 ”;2019 年 5 月发布《信息安全技术网络安全等级保护基本要求》,统称“等保 2.0 ”。在等级保护分级中,按重要程度共分为五级:

  • 一级(自主保护)
  • 二级(指导保护)
  • 三级(监督保护)
  • 四级(强制保护)
  • 五级(专控保护)

除了等级保护,国家也对涉及国家机密的信息系统进行了分级。2005 年 12 月,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,同时,《保密法》修订草案也增加了网络安全保密管理的条款。分级保护分为:

  • 秘密级
  • 机密级和机密级(增强)
  • 绝密级

等级保护和分级保护的制定,从国家法律层面规范了公民、法人和机构组织对信息系统分等级实行安全保护。各级政府电子政务的建设,涵盖几十个不同等级的应用系统,如何区分这些系统的等级和分级,政府政务管理机构已经组织专家团队做了全面的评估和评定,对政府应用的系统进行了等级划分。

一般而言,面向社会提供服务窗口的网站及 Web 应用系统对国家安全影响有限,可以划分为一二级等级保护,对外公开的气候、经济统计、灾害预防等信息也不属于国家秘密。但是,一些重要的网站、内部流转的机密公文及测绘、国防等信息系统,就属于较高等级或秘密的保护范畴。故从数据管理和灾备角度分析,电子政务信息系统应根据其信息安全保护等级和业务连续性要求,选择建设相对应的灾备系统,以防止因系统终止提供服务而对市民的正常生产生活带来影响,甚至造成严重的社会影响;电子政务信息系统也应根据其数据的重要性程度制定数据备份策略,以防止因数据丢失而造成损失。

2)政府电子政务发展的法律法规

国家在大力推进电子政务快速发展的同时,不同主管机构和部门下发和颁布了一系列的政策法规。例如:

《中华人民共和国网络安全法》第七十二条规定:国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。

《国务院办公厅关于印发进一步深化“互联网+政务服务”推进政务服务“一网、一门、一次”改革实施方案的通知》(国办发 〔2018〕45 号)要求“加强数据共享安全保障”,依法加强隐私等信息保护;提高国家电子政务外网、国家数据共享交换平台和国家政务服务平台的安全防护能力;推进政务信息资源共享风险评估和安全审查,强化应急预案管理,切实做好数据安全事件的应急处置。

《国家发展改革委关于印发“十三五”国家政务信息化工程建设规划的通知》指出,“构建一体化政务数据平台”是规划的主要任务之一,即按照“数、云、网、端”融合创新趋势及电子政务集约化建设需求,依托统一的国家电子政务网络加快建设综合性公共基础设施平台,形成互联互通、安全防护、共享交换、云计算、数据分析、容灾备份等综合服务能力,实现电子政务关键公共基础设施的统建共用,支撑政务业务协同和数据共享汇聚。

本章节整理了对政府电子政务发展起到积极推动作用的法律法规及文件,各级政府及组织可根据机构规模、属性、等级进行相应的数据安全和业务连续性的建设。

“加快电子政务信息系统的发展”

《国务院办公厅关于促进电子政务协调发展的指导意见》(国办发〔2014〕66 号)

《国务院关于促进云计算创新发展培育信息产业新业态的意见》(国发〔2015〕 5 号)

《国务院关于印发政务信息资源共享管理暂行办法的通知》(国发〔2016〕51 号)

《国务院关于加快推进“互联网+政务服务”工作的指导意见》(国发〔2016〕55 号)

《国务院办公厅关于印发<2017年政务公开工作要点>的通知》(国办发〔2017〕24 号)

《国务院办公厅关于印发政府网站发展指引的通知》(国办发〔2017〕47 号)

《国务院办公厅关于印发<政府网站集约化试点工作方案>的通知》(国办函〔2018〕71 号)

《国务院关于加快推进全国一体化在线政务服务平台建设的指导意见》(国发〔2018〕27 号)

《民政部关于印发<“互联网+社会组织(社会工作、志愿服务)”行动方案(2018-2020 年)>的通知》

“关于保障电子政务信息系统安全的发展”

《关于加强党政部门云计算服务网络安全管理的意见》(中网办发文〔2014〕14 号)

《关于加强党政机关网站安全管理的通知》(中网办发文〔2014〕1 号)

《国家发展改革委关于印发“十三五”国家政务信息化工程建设规划的通知》(发改高技〔2017〕1449 号)

《公共安全业务连续性管理体系指南》国家标准(GB/T 31595-2015)

《国家网络空间安全战略》(国家网信办 2016 年 7 月)

《中华人民共和国网络安全法》(2017 年 6 月 1 日)

《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)

《网络安全审查办法》(国家网信办 2020 年 4 月 )

随着我国经济体量的持续壮大和国际地位的显著提升,境外敌对势力通过网络渗透攻击我国重要部门的网络系统,以及通过黑客技术加密重要文件的事情时有发生。据新闻报道,从 2014 年开始,某机构安全大脑通过整合海量安全大数据,发现了多起境外APT组织使用“在野”0day 漏洞针对我国境内目标发起的APT攻击,并发现境外针对中国境内目标的攻击最早可以追溯到 2007 年,至少影响了中国境内超过万台电脑,攻击范围遍布国内 31 个省级行政区。

这些攻击对象包括国防、航天、政府、重要企业的网络系统,由此可见各级政府及组织加强电子政务信息系统和数据安全的保护迫在眉睫。

二、行业现状与需求

提高工作效率,建设人民满意的数字化服务型政府,离不开政务电子化所需要的各种信息化技术和设备。我国电子政务建设,以 1999 年政府上网工程启动这一标志性事件为界,之前为政府信息化的前期,之后为政府信息化大规模建设阶段。我们总体上将其划分为三个时期:

1)网站建设时期

这一时期的电子政务建设,更多关注政务信息和流程的公布,与群众线上交互等。同时,通过政府部门的带动,培养群众对新技术、新方式的接受和适应能力。

2)信息化时期

这个时期主要是在第一阶段的基础上,实现协同办公、不见面审批、网上执法、网络化管理等。这个阶段所面临的挑战是实现孤立部门间流程的统一和协同化。

3)大数据时代

这个阶段政府的网络建设观念逐渐淡化,更多强调对大数据、人工智能、容器云、区块链等新兴技术的应用,实现对数据的挖掘、交互、分析、保护,同时也更强调数据和业务的安全性,强调部门协同打破数据孤岛,保障数据价值的时效性,加快数据流动,最终为供给侧提供需要的数据价值,从而为老百姓提供更高效便捷的政务服务。

时至今日,电子政务也从前端网站建设转向基础设施集约建设,政务云和大数据中心已成为数字政府建设的当务之急。政务云也是电子政务 IT 发展新 10 年,在云计算时代,电子政务 IT 基础设施将从分离重新走向融合,用户通过云操作系统,将数据中心多厂家异构的计算、存储、网络资源进行统一融合,对外提供开放与标准化的IT服务接口,实现数据资源与应用资源的融合。为此,在众多的子系统与数据库中,需要一个平台来传递可靠的、与平台及语言无关的数据,且能够把数据透明化。这时,数据复制技术将在接口调用过程中发挥重要作用,通过不断的收集、调用、分析数据,满足 IT 业务的需求,并协助业务模型决策做出更智能的预测。

硬币都有两面性,云环境下的电子政务在获得集约建设、资源利用最大化的同时,也意味着风险共担。政务云建设需要评估资源间的依赖关系,适当对 IT 资源进行解耦,减少 IT 资源的关联风险,以及对关键 IT 资源进行容灾备份,确保构建在政务云上的系统安全持续运行。

不将所有鸡蛋放在一个篮子,是各地政务云建设应当遵循的一个标准。当前,政务云建设分为内外网,以及两地三中心或异地容灾的建设模式。即通常情况下,在同一个政务云的数据中心,管理者会将政务内网系统和外网系统划分为两个区域,它们之间的 IT 资源相互独立,同时同城采用主备模式,在同城 50 公里左右的地方构建备用政务云数据中心,当生产数据中心的系统发生故障,要么在本地数据中心进行系统切换,要么整体切换到备用数据中心,实现系统应用的容灾保护。最后,为了避免区域性灾害如地震、火灾、洪灾、战争可能造成的毁灭性破坏,对于重要系统和数据库数据,还需要在异地建立灾备中心,用于关键系统和数据的恢复,符合等保要求。

在这种“一朵云二张网三中心”的运营管理模式下,电子政务在业务方面,划分为两类:一类是以省-市州-区县-乡镇为四级行政机构的电子政务模式,专注于政府便民服务、政策发布执行和公文传输等;一类是以省厅-市州局-区县分局-乡镇营业所(行业称呼略有差别)的模式,专注细分业务的对外服务、政策执行发布和公文传输等(如公检法)。

不同的领域和单位,有不同的数据安全和业务连续性需求,等级保护和分级保护要求也不一样,综合分析,主要存在以下需求:

  • 业务数据本地备份、CDP
  • 本地数据库读写分离和容灾
  • 本地应用系统的容灾高可用
  • 关键系统的异地跨平台容灾
  • 政务云虚拟机迁移和云灾备
  • 内外网两地三中心容灾备份

综上,随着电子政务的落地发展,构建政务云之间的灾备体系将是下一步的建设重点,防范网络入侵和病毒攻击将是首要任务,同时系统故障带来的对外服务窗口的关闭,如政务挂号系统故障、发布防洪资讯的网站访问不了,都会带来一定的社会影响。为此,需要制定完备的容灾机制,确保数据不丢、业务不停。

三、应用场景与解决方案

实现电子政务的数据安全和业务连续性建设,需要捋清楚电子政务的系统网络建设情况,特别是政务内外网、多种异构平台情况、二层与三层网络应用等。

目前,我国电子政务网络系统分为政务内网和政务外网,内网是为政务系统自建的私有网络,外网一般指互联网,政务内外网通过信息安全交换系统,实现信息的交换,两者是相互隔离又相互补充的关系。

政务内网:以满足政府内部办公的需求为主,通过独立的软硬件设备达到物理隔离的目标,对上与国家电子政务内网互联。政务内网为了安全覆盖范围尽可能少,主要用于传送电子公文、以及不适合通过外网传输的信息,比如政务信息、视频会议等信息。

政务外网:以政府公共服务网为主,组织机构及民众可以通过政府公共服务网查询相关的政务信息。政务外网与互联网通过网络安全系统逻辑连接,是政务机构人员与外面进行信息交流的通道,是政务公开和为民办事的主要窗口,各单位通过网站对外提供网上服务、受理申请等,典型代表为各类政府信息门户网站。

互联网出口:在异地灾备建设过程中,互联网出口是系统故障完成切换后,政务系统继续对外提供服务的网络端口。通常情况下,按照规定政府机构的下属单位上网,应该统一上联到政府信息中心的互联网出口,但业务的不同,会存在个别政府单位因为工作需要或其他原因,可以搭建独立的互联网出口。

异构平台系统:政务数据中心有一个显著的特征,是供应商错综复杂,品牌繁多,不同的数据中心,存在虚拟化平台异构、服务器异构、存储系统与硬件异构、数据库异构等问题;此外,结构化与非结构化数据也对政务大数据平台、数据湖、容灾备份等应用带来挑战。

网络层容灾切换:政务系统内外网的通信,以及在两地三中心或异地容灾的情况下,会涉及到不同网络层的应用。在故障发生时,英方软件通常采用的故障切换接管方法,分为在二层网络环境下,会采用VIP漂移技术,实现故障的切换;在三层网络环境下,可以采用负载均衡方式,实现故障切换;在广域网环境下,支持与DNS服务器无缝结合,实现故障切换。

综上,针对不同场景不同网络环境下的政务系统,电子政务主管部门根据各个系统安全等级保护的要求,需要作出相应的调整,当本地数据中心发生故障或出现重大灾难时,可以马上进行容灾切换及数据恢复。而对于数据安全和业务连续性的建设,采用同城或异地的主备数据中心、两地三中心等方案,不仅可以实现省级(直辖市)的政府及组织电子政务云平台的容灾备份,还可以实现地市级(区县)政务系统的容灾备份。

英方软件在电子政务领域拥有丰富容灾备份的项目实践经验,可以为用户提供政务系统的跨平台迁移、本地容灾备份、异地数据库数据实时同步和系统容灾、云容灾、两地三中心灾备等解决方案。由于政务机关分门别类较多,难以逐一陈述,下面我们挑选几个有代表性的场景进行介绍。

▽海量虚拟机跨平台迁移和容灾

场景特点

虚拟机数量大

虚拟化平台及版本异构

用户需求

本地或云端到云端的系统热迁移

虚拟机的备份和故障快速切换接管

英方应用实践:在本地或异地数据中心,通过 i2Move 系统在线热迁移软件,在不影响日常政务服务的前提下,可以将系统从 VMware 虚拟化平台迁移到 KVM + OpenStack 的异构平台上,同时增量数据及IP地址可一起迁移到新的平台上,整个迁移进程自动化,迁移成功率高。与此同时,由于平台型故障对虚拟机集群可以造成致命打击,为此需要通过 i2Availability 实现重要虚拟机系统的容灾,保障业务连续性。

▽政务云两地三中心灾备

场景特点

虚拟机规模大、内外网环境

等级保护和分级保护要求不同

用户需求

建设两地三中心灾备,保留互联网出口

重要系统同城容灾,数据异地备份

数据库数据的实时同步和读写分离

英方应用实践:两地三中心的模式下,灾备建设遵守内外网相互隔离的原则,并根据用户需求决定是否在灾备端保留互联网出口;在本地生产中心到同城灾备中心异构虚拟化平台的过程中,通过 i2Active 数据库语义级的数据实时复制和同步软件,实现数据库读写分离和容灾;同时通过 i2Availability 实现异构平台核心业务容灾接管;最后通过 i2CDP 、i2FFO 进行本地到同城,同城到异地的数据同步和备份,可以有效防范逻辑错误、勒索病毒的攻击,保障数据和业务的安全。

▽公安厅警务系统异地容灾与数据库双活

场景特点

等级保护和分级保护要求不同

各个平台的异构问题突出

用户需求

数据库数据的实时同步和读写分离

建立同城或异地容灾中心

实现跨平台的容灾接管

英方应用实践:在专网环境下的本地和异地数据中心,通过 i2Active 数据库语义级的数据实时复制和同步软件,将Oracle RAC 实时同步本地灾备服务器,然后在实时同步到异地灾备中心;然后通过 i2Availability 高可用软件实现对本地业务系统的异地容灾,确保业务应用系统发生故障时,可以秒级进行切换接管。

▽海量NAS文件异地灾备与数据库双活

场景特点

机密性强、等保要求高

海量小文件,平台异构

用户需求

NAS下海量小文件的灾备

本地或同城的系统容灾

英方应用实践:在专网环境下的本地和异地数据中心,通过 i2NAS 海量文件同步软件,将 NAS 存储下的服务器变化的数据,汇集到本地 i2NAS 服务器,然后定时或实时将变化的数据同步到容灾中心;通过 i2Availability 实现对本地业务系统的容灾高可用,确保关键系统发生故障时,异地容灾中心可快速接管应用;通过 i2Active 数据库语义级的数据实时复制和同步软件,将Oracle RAC 实时同步到本地或异地容灾中心。

▽大数据管理局数据库容灾及CDP保护

场景特点

数据集中管理,非结构化数据多

用户需求

数据库系统的容灾和数据备份

异构数据库在大数据平台的数据流通

数据库数据的CDP保护

英方应用实践:在本地大数据中心,通过 i2Active 将 Oracle RAC 同步到备端 Oracle 数据库单机服务器,然后通过 i2CDP 实现数据库数据的持续保护;针对 Oracle 、MySQL 、SQL Sever 等数据库到大数据平台的应用需求,可通过 i2Stream 数据流复制管理软件,采用抽取、转换、装载的方式,实现异构数据库平台之间数据的传输及数据到 Kudu 、 Hadoop 等大数据平台,打破数据孤岛,实现数据互联互通。

四、典型用户案例

▽成都政务云海量虚拟机跨云平台迁移

项目亮点:在两端平台异构的环境下,用户实现了海量虚拟机系统的在线热迁移,同时迁移过程中新增的数据可以实时同步到新的政务云平台,整个过程迁移成功率高,无需人工过多干预,极大缓解了系统迁移的压力。

用户介绍:成都政务云是政府在电子政务建设上的一大创新。自建成以来,不仅助力线上政务服务体系的协调联动,加速新型智慧城市的建设,让企业和群众办事不求人、办成事不找人,真正做到阳光服务、温暖服务。此外,成都政府还计划于2020年底,在全市范围内建成统一资源体系和大数据中心,形成多级联动、部门协同、一网办理的“互联网+政务服务”体系,实现互联网与政务服务深度融合。

项目需求:首先,在不影响全市正常政务服务的前提下,将系统从原来的 VMware 虚拟化平台迁移到 KVM + OpenStack 的虚拟化平台上;其次,整个迁移项目涉及2000台虚拟机,如此规模的迁移任务,需要在有限的人力和资源的背景下,快速、便捷、安全地实现整体跨平台的热迁移。

实施过程:成都政务云项目团队联合英方软件进行系统迁移的部署,过程如下:

1.针对 2000 台海量的服务器整体迁移任务,英方 i2Move 在线热迁移软件,首先对需要迁移的虚拟机系统进行两端数据的同步;

2.数据同步完成,根据用户的需求,按需将相关的虚拟机系统迁移到新的政务云虚拟化平台上。迁移过程中,通过可视化界面展示迁移时间、迁移进程、两端数据一致性比对等状态,简化所有迁移流程,从而一键完成迁移操作,减轻迁移过程中运维人员的压力和资源投入;

3.虚拟机系统迁移完成,重启虚拟机系统,完成迁移任务,系统继续向外提供服务。

▽遵义市住房公积金中心异地容灾与互为灾备

项目亮点:确保了公积金中心核心业务系统、综服管理系统、结算系统的应用容灾,以及海量非结构化数据库的数据同步备份、CDP和文件保护,构建了遵义市公积金中心到盐城市公积金中心的异地容灾模式,首创两市公积金中心“互为灾备”的新模式,在确保重要数据异地备份、系统容灾的同时,突破传统异地容灾成本高、可用性低、数据备份窗口大等难题,是“互联网+政务服务”的创新实践。

用户介绍:遵义住房公积金管理中心是经遵义市政府批准,于 2003 年 3 月成立的事业单位。遵义市住房公积管理中心下设五个科室和十三个管理部,中心实行统一的规章制度、实行统一核算、统一管理。十三个管理部受中心授权负责当地的公积金的归集和使用。

项目需求:实现公积金中心核心业务系统、综服管理系统、结算系统的异地容灾,确保数据和业务的安全;同时通过互为灾备的模式,减少异地灾备中心的投入。

实施过程:遵义市公积金中心项目团队联合英方软件进行异地灾备的部署,过程如下:

1.在生产中心,通过虚拟化技术,将 5 台服务器虚拟出 8 台虚拟机,其中 6台虚拟机分配给应用程序,2 台虚拟机分配给综服数据库系统和结算数据库系统。然后通过 i2Availability 字节级数据复制高可用软件,应用程序与灾备中心的 X86 服务器进行一对一的应用高可用容灾;综服和结算数据库与灾备中心的灾备数据库服务器 i2Box-C 进行一对一的应用高可用容灾;当生产中心某台虚拟机出现故障时,灾备中心相应的服务器可秒级接管,继续向外提供服务。

2.在生产中心,通过虚拟化技术,将灾备数据库服务器 i2Box-C 虚拟出 3 台虚拟机。然后针对生产中心AIX 小型机系统下的核心业务数据库集群,通过 i2Active 数据库语义级同步软件,将集群实时同步到灾备数据库服务器 i2Box-C 上,实现核心数据库集群从 AIX 小型机到 X86 服务器的高可用容灾;最后将综服数据库系统和结算数据库系统,通过 i2Availability 高可用软件,在灾备数据库服务器 i2Box-C 上实现一对一高可用容灾。

3.针对生产中心 AIX 小型机上的应用程序和凭证数据,通过定时备份软件 i2Backup 备份到灾备 AIX 小型机应用服务器上,确保重要应用和数据的备份保护。

4.灾备中心的数据库服务器 i2Box-C 存储了核心数据库、综服数据库和结算数据库的重要数据,由于两端数据一致性,存在逻辑错误导致数据被覆盖、丢失的风险,所以通过内嵌的 i2CDP 备份一体机 i2BoxD-A,对三大数据库数据进行持续数据保护,当数据库数据出现损坏、丢失、中病毒等情况时,可以通过 CDP 数据恢复到任意时间点的数据。

五、小结

电子政务系统是政务和群众之间沟通的重要渠道,是提高政务办公效率的重要工具,也是信息化社会发展的基础。建设人民满意的数字化服务型政府,离不开电子政务平台提供的技术支撑,而保障电子政务应用系统和数据的安全,离不开数据复制核心技术和容灾备份等产品方案。在政务云数据中心领域,适合云和大数据应用场景的数据复制技术,将帮助用户解决各类应用场景的灾备需求,满足不同平台、不同网络层和不同等级保护的需求。

及时响应,快速服务,为您保驾续航

立即注册

请先完成图形验证

验  证  码:

请先完成图形验证

验  证  码:

隐私声明
当您在本网站进行合作伙伴注册登记,本网站将收集您的相关信息,并保存记录。本网站收集的个人信息包括但不限于:姓名、地址、公司、所在地区、电话号码以及电子邮件地址等。您主动提供的信息越多及越准确,我们就能够更好地为您提供有关服务。
咨询·购买